De impact van Amerikaanse wetgeving op uw data

Waarom Amerikaanse Big Tech een risico vormt voor uw digitale soevereiniteit

Veel organisaties gaan ervan uit dat hun data beschermd is door de Europese privacywetgeving, zoals de AVG, zolang deze in een datacenter in de EU staat.

Echter, Amerikaanse wetgeving, zoals de US CLOUD Act, Sectie 702 van de Foreign Intelligence Surveillance Act en Executive Order 12333, heft deze bescherming feitelijk op wanneer de technologie geleverd wordt door een Amerikaans bedrijf.

Aangezien Amerikaanse bedrijven altijd onder de Amerikaanse wetgeving vallen, creëert dit een direct juridisch risico voor de vertrouwelijkheid van uw gegevens.

Nederlandse overheid slaat data op op servers van Amerikaanse Big Tech

Wat de US Cloud Act feitelijk betekent

US agent die data opeist van een Europese IT gebruiker

De Clarifying Lawful Overseas Use of Data Act (CLOUD Act) geeft Amerikaanse opsporingsdiensten de bevoegdheid om data op te eisen van Amerikaanse bedrijven, ongeacht waar ter wereld die data fysiek is opgeslagen.

Voor een organisatie die werkt met clouddiensten van Amerikaanse leveranciers, zoals Microsoft, Google of Amazon, betekent dit dat hun data, inclusief die in Nederlandse datacenters, direct onder de Amerikaanse jurisdictie valt.

De juridische gevolgen voor compliance

Voor Nederlandse organisaties leidt dit tot een situatie waarin zij niet kunnen voldoen aan de Europese privacyregels:

Voorrang van Amerikaanse vorderingen

Onder de AVG bent u verantwoordelijk voor de bescherming van alle persoonsgegevens die u op een server opslaat.

De CLOUD Act dwingt uw Amerikaanse leverancier echter om de toegang tot die data open te stellen voor een overheid buiten de EU.

Dit gebeurt vaak zonder tussenkomst van een Nederlandse rechter, waardoor de Amerikaanse wetgeving feitelijk voorrang krijgt op de Europese privacybescherming op diezelfde server.

Inzage in metadata

Naast uw bestanden hebben vorderingen vaak betrekking op metadata. Dit geeft inzicht in uw zakelijke relaties, communicatiepatronen en proceslogica.

Zelfs als uw bestanden versleuteld zijn, kan een Amerikaanse leverancier deze strategische informatie overhandigen aan de Amerikaanse overheid.

Gebrek aan rechtsmiddelen

Omdat de vordering bij het moederbedrijf in de VS wordt neergelegd, heeft u als Nederlandse eigenaar van de data geen juridische middelen om de inzage te blokkeren.

U wordt vaak zelfs niet geïnformeerd wanneer uw gegevens zijn opgevraagd.

Een actueel risico voor de bedrijfsvoering

Dit risico is in de praktijk al zichtbaar. Nederlandse wetenschappers zijn bijvoorbeeld begonnen met het weghalen van onderzoeksdata uit Amerikaanse cloudsystemen om de controle over hun eigen werk op de lange termijn veilig te stellen.

De concentratie van data bij een klein aantal buitenlandse partijen vormt een strategisch risico voor de onafhankelijkheid van elke organisatie.

Geen toegang tot data die opgeslagen is in de cloud in Amerika
Overstappen van big tech naar open source software

Juridische soevereiniteit herstellen

Het risico van de CLOUD Act kan niet worden opgelost met extra contractuele afspraken.

De enige manier om deze buitenlandse zeggenschap uit te sluiten, is door de technologie en het beheer onder te brengen bij partijen die uitsluitend onder de Europese wetgeving vallen of door de IT-omgeving volledig in eigen beheer te nemen.

De route naar digitale soevereiniteit

Interlunium helpt organisaties bij de overstap naar transparante software en onafhankelijke infrastructuur.

Wij zorgen dat uw data weer uitsluitend onder de bescherming van de Nederlandse en Europese wet valt, waardoor u de regie over uw informatie volledig terugkrijgt.

Visie Interlunium Open Source software advies

Adviesgesprek aanvragen

Nieuwsgierig hoe wij uw organisatie kunnen begeleiden naar digitale onafhankelijkheid?

Neem contact op voor een vrijblijvend kennismakingsgesprek of een quickscan van uw huidige IT-omgeving

Contact opnemen
Contact met Interlunium